【发布时间】:2017-06-12 14:22:57
【问题描述】:
在 Web 应用程序中使用 cookie 非常方便且通用。但在某些国家/地区,法律要求在使用 cookie 的网站上放置额外信息。
为了在 Web 应用程序中避免这种情况,我考虑使用 ETags 而不是 cookie。
我的意思主要是关于将其用于技术方法,例如维护用户会话,特别是用于记录和存储有关产品篮状态的信息等任务。
在 Web 应用程序中使用 ETags 代替 cookie 的另一个优势可能是:
防止与 cookie 相关的攻击。
防止用户清除浏览器的 cookie(但当然不能清除浏览器的缓存;)
您认为如何使用 ETags 代替 cookie?
它会带来额外的风险吗?
【问题讨论】:
-
您将如何保留 ETag 以便能够在以后的调用中传递它?
-
在同一个网站或网络上?当然,这是可能的——只要看看Etsy, AOL, Spotify, and others 就他们的“不可删除的跟踪 cookie”提起的诉讼。在我自己实施这方面的任何事情之前,我会犹豫,至少在我完成对法律的研究之前。
-
我不建议使用 ETag(缓存验证器)作为公共网站的会话 ID。您不知道是否有多个客户端可能位于共享缓存后面,这可能会将该 ETag 插入请求并导致各种问题。
-
好点@Adrien。谢谢。
标签: http session cookies web-applications etag